CN106850679A - 一种检测wifi攻击的方法 - Google Patents
一种检测wifi攻击的方法 Download PDFInfo
- Publication number
- CN106850679A CN106850679A CN201710163766.5A CN201710163766A CN106850679A CN 106850679 A CN106850679 A CN 106850679A CN 201710163766 A CN201710163766 A CN 201710163766A CN 106850679 A CN106850679 A CN 106850679A
- Authority
- CN
- China
- Prior art keywords
- attack
- module
- bag
- alarm
- client terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种检测WIFI攻击的方法,包括:在AP中增加一个攻击检测模块和告警公告模块;攻击检测模块对无线驱动模块丢弃的无效或问题包进行攻击检测,并根据攻击检测结果判断是否受到攻击,并在受到攻击时,向告警公告模块发送攻击消息;告警公告模块生成两个告警公告消息,一个通过上网业务模块转发给正在与此AP连接的客户终端,进行告警公告;另一个通过上网业务模块转发给有网管中心网络的网管中心。本发明在上网出现瞬断、速度降低、不能上网的现象时,客户和运营商就能够迅速确定是否遭受WIFI攻击,节省人力物力,使客户和运营商能够及时采取相应措施,避免用户的敏感信息丢失,造成损失。
Description
技术领域
本发明涉及WIFI攻击,具体涉及一种检测WIFI攻击的方法。
背景技术
由于WIFI不用重新布线,就可接入各种笔记本电脑、手机、平板(PAD)的特点,广泛应用于家庭、办公室、酒店等场所。WIFI无线网络由客户端和AP组成,无线接入点AP为提供WIFI无线接入的设备。根据标准,AP会定期发送Beacon帧,让无线客户端感知它的存在;同时,无线客户端也会通过主动扫描,选择相应的AP进行关联。通常无线网络客户端每次成功建立连接,就记录对应的AP ID,下次扫描到有连接记录的AP ID时会自动尝试建立连接;任何无线客户端要与AP建立连接,都需要经过认证、关联过程,最基本的连接建立过程为:无线客户端要与AP建立连接,首先会给AP发送AUTH request,AP收到后会回复AUTHresponse;然后,客户端再发送关联请求帧(包含加密认证),AP收到后回复关联响应。
随着最后一公里接入技术的发展和用户的需求,DSL终端、PON上行终端也纷纷整合进了WIFI的AP功能,这些终端通常是由运营商进行维护的,由于该WIFI使用的是公众无线通道,一般是2.4G,所以很容易受到攻击,WIFI攻击,通常是利用连接建立过程的漏洞进行攻击;用户在遭受WIFI攻击时,出现的感知是上网出现瞬断、速度降低、不能上网,而其它原因也会导致同样的现象,如上层网络拥塞、接入线路问题等,客户和运营商无法快速确定出现上述现象原因是否是遭受到WIFI攻击,不仅耗费大量的人力物力,可能会导致用户的敏感信息丢失,造成损失。
发明内容
本发明所要解决的技术问题是在上网出现瞬断、速度降低、不能上网的现象时,客户和运营商能够迅速确定其发生原因是遭受WIFI攻击,以便采取相对措施的问题。
为了解决上述技术问题,本发明所采用的技术方案是提供一种检测WIFI攻击的方法,包括以下步骤:
在AP中增加一个攻击检测模块和告警公告模块;
所述攻击检测模块对无线驱动模块丢弃的无效或问题包进行攻击检测,并根据攻击检测结果判断是否受到攻击,并在受到攻击时,向告警公告模块发送攻击消息;
所述告警公告模块生成两个告警公告消息,一个通过上网业务模块转发给正在与此AP连接的客户终端,进行告警公告;另一个通过上网业务模块转发给有网管中心网络的网管中心。
在上述方法中,AP的所述无线驱动模块实时记录客户终端和AP间的关联状态信息、收、发包的接收强度信号指示,并同无效或问题包的原始数据包一起发送给攻击检测模块。
在上述方法中,所述告警公告模块将告警公告消息通过上网业务模块转发给正在与此AP连接的客户终端的方式如下:
(1)上网登录界面提示的方式,具体包括以下两种情况:
在检测到攻击时,由于攻击发生客户与网络连接自动掉线,客户在重新连网时,在上网登录界面上提示WIFI攻击;
AP根据攻击的情况强行断开连接客户终端,客户终端被动重新连网时,在上网的登录界面上提示WIFI攻击;
(2)通过AP的DNS临时转向,在客户终端的上网界面弹出一个告警窗口,通过告警窗口向无线客户终端发送告警公告消息。
在上述方法中,所述无效或问题包包括协议栈不能处理需要丢弃的包、RSSI突变的包、MAC地址或者SSID不符合逻辑的包。
在上述方法中,攻击检测的检测内容包括包是否符合攻击包外部特征、收到的包是否和协议标准的状态不符合、RSSI异常是否符合攻击特征。
在上述方法中,判断是否受到攻击不能根据一个无效或问题包的攻击检测结果得到时,攻击检测模块记录收到的多个包的攻击检测结果,对这些包的攻击检测结果进行综合判断。
本发明通过在AP中增加一个攻击检测模块和告警公告模块,检测WIFI攻击,并同时通知客户终端和网管中心,在上网出现瞬断、速度降低、不能上网的现象时,客户和运营商能够就可迅速确定是否够遭受WIFI攻击,不需要通过其他设备确定原因,节省人力物力,进而采取相应措施,避免用户的敏感信息丢失,造成损失。
附图说明
图1为采用本发明提供一种检测WIFI攻击的方法的AP结构示意图;
图2为采用本发明对无线客户终端与连接的AP之间进行WIFI攻击检测的流程图。
具体实施方式
下面结合说明书附图和具体实施例对本发明做出详细的说明。
通常一个AP包括无线驱动模块、上网业务模块和上联口模块,无线驱动模块完成无线空口包的收发、无线协议802.11的实现等;上网业务模块进行NAT转发等操作;上联口模块将上网业务模块处理好的包发到互联网,同时将收到的互联网的包发到上网业务模块处理;上联口模块的上联口上联以太网、DSL、PON等,不同的上联口的物理形式不一样。而对于非法的WIFI攻击包,在通常情况下,无线驱动模块收到后,如果是无效包,直接丢弃,不作任何处理;如果是伪装成功的问题包,无法被检测到,会进行相应的协议处理。
本发明提供的一种检测WIFI攻击的方法,如图1所示,增加一个攻击检测模块和告警公告模块;攻击检测模块处理无线驱动模块丢弃的各种包(无效包),攻击检测模块对收到的包进行分析处理,根据逻辑条件判断该包是否有攻击以及攻击类型,并记录下对应攻击时间,向告警公告模块发送攻击消息;告警公告模块生成两个方向的告警公告消息,一个方向是通过上网业务模块发送给正在通过此AP上网的客户终端,让无线客户终端察觉到无线网络环境存在攻击;另一个方向是通过上网业务模块发送到有网管中心网络的网管中心,提醒该网管下挂用户无线环境产生了攻击,并记录在网管上,用于客服排查问题。
在本发明中,无线驱动模块传递给攻击检测模块的无效包,除了原始数据包外,还包括正常包的接收强度信号指示(即RSSI),RSSI能够侧面反应无线客户终端的特征,即无线客户终端和AP之间的距离以及终端无线网卡的发送功率,这是因为正常包的RSSI由于是合法的终端产生的,有一定的物理特征,在和AP正常通信时,RSSI只会在较小范围内跳动,如果终端发生移动或者被移动物体遮挡时,由于物体运动的速率原因,RSSI变化率也在一定的范围内改变;反之,如果发生攻击,尽管攻击包可以模拟合法终端的各种数据特征(如MAC地址等),但是由于攻击者的物理位置和合法终端一般不可能在同一位置以及与合法终端网卡的无线发送功率相同,这样当在AP的无线网卡上出现正常包的RSSI有一定规律地上下跳动时,AP通过这个逻辑就可以进行一种攻击判别。因此,无线驱动模块在向检测模块发送丢弃包时还需要将正常包的RSSI也同步传送过来。此外,攻击检测模块还会获取AP的MAC地址、SSID等信息,用于内部攻击检测的逻辑处理。
本发明的告警公告模块通过上网登录界面提示的方式向无线客户终端发送告警公告消息,具体包括以下两种情况:
(1)上网登录界面提示,在检测到攻击时,由于攻击发生客户与网络连接自动掉线(如Deauth洪泛攻击),客户在重新连网时,在上网登录界面上提示WIFI攻击;
(2)AP根据攻击的情况强行断开连接客户终端,客户终端被动重新连网时,在上网的登录界面上提示WIFI攻击;
本发明的告警公告模块还可以通过AP的DNS临时转向,在客户终端的上网界面弹出一个告警窗口,通过告警窗口向无线客户终端发送告警公告消息。
在本发明中,告警公告模块向网管中心发送告警公告消息可以根据AP和网管服务器的联接方式,选择SNMP、TR069等方式,网管中心收到了告警公告消息就可以进行对应的处理,如网管界面提示、数据保存、向其它相关服务器发送消息等。
下面结合图2对本发明的实现流程进行具体说明,采用本发明对无线客户终端与连接的AP之间进行WIFI攻击检测具体包括以下步骤:
步骤A11、无线客户终端x开始和AP之间进行认证、关联;在本步骤中,AP定期发送Beacon帧;无线客户终端向AP发送AUTH request;AP回复AUTH response,发送关联请求帧(包含加密认证)及关联响应,这个连接建立过程最容易受到WIFI攻击的。
步骤A12、AP的无线驱动模块实时记录无线客户终端x和AP间的状态信息,包括关联的状态信息、收、发包的RSSI等。
步骤A13、无线客户终端x通过关联/认证。
步骤A14、AP的无线网卡(无线驱动模块)进行上网业务的收、发包,并实时记录收、发包对应的状态,包括RSSI等。
步骤A15、无线网卡判断收、发包是否为无效或问题包,如果是执行步骤A17;否则执行步骤A16;在本发明中,无效或问题包包括协议栈不能处理需要丢弃的包、RSSI突变的包、MAC地址或者SSID不符合逻辑的包等。
步骤A16、将正常的上网业务包发送给上网业务模块进行数据转发,从而完成无线客户终端的上网业务,然后执行步骤A14。
步骤A17、AP的无线驱动模块将无效或问题包的数据包以及状态信息、状态RSSI、攻击RSSI等信息发送给攻击检测模块。
步骤A18、攻击检测模块对无效或问题包进行攻击检测,攻击检测主要检测包是否符合攻击包外部特征、收到的包是否和协议标准的状态不符合、RSSI异常是否符合攻击特征等。
步骤A19、攻击检测模块根据攻击检测结果,判断是否受到攻击,如果受到攻击,则执行步骤A21;否则,执行步骤A20。
步骤A20、攻击检测模块需要记录该包的攻击检测结果,因为有时判断是否受到攻击并不是根据一个包攻击检测结果能得到的,这个时候攻击检测模块需要记录收到的几个包的攻击检测结果,前后进行综合判断,然后将包发给上网业务模块进行数据转发或协议处理,再执行步骤A14。
步骤A21、发现了攻击,将带有攻击类型及信息的攻击消息发送给告警公告模块。
步骤A22、告警公告模块将收到的攻击消息以告警公告消息的方式发送给用户,然后执行步骤A14。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (6)
1.一种检测WIFI攻击的方法,其特征在于,包括以下步骤:
在AP中增加一个攻击检测模块和告警公告模块;
所述攻击检测模块对无线驱动模块丢弃的无效或问题包进行攻击检测,并根据攻击检测结果判断是否受到攻击,并在受到攻击时,向告警公告模块发送攻击消息;
所述告警公告模块生成两个告警公告消息,一个通过上网业务模块转发给正在与此AP连接的客户终端,进行告警公告;另一个通过上网业务模块转发给有网管中心网络的网管中心。
2.如权利要求1所述的方法,其特征在于,AP的所述无线驱动模块实时记录客户终端和AP间的关联状态信息、收、发包的接收强度信号指示,并同无效或问题包的原始数据包一起发送给攻击检测模块。
3.如权利要求1所述的方法,其特征在于,所述告警公告模块将告警公告消息通过上网业务模块转发给正在与此AP连接的客户终端的方式如下:
(1)上网登录界面提示的方式,具体包括以下两种情况:
在检测到攻击时,由于攻击发生客户与网络连接自动掉线,客户在重新连网时,在上网登录界面上提示WIFI攻击;
AP根据攻击的情况强行断开连接客户终端,客户终端被动重新连网时,在上网的登录界面上提示WIFI攻击;
(2)通过AP的DNS临时转向,在客户终端的上网界面弹出一个告警窗口,通过告警窗口向无线客户终端发送告警公告消息。
4.如权利要求1所述的方法,其特征在于,所述无效或问题包包括协议栈不能处理需要丢弃的包、RSSI突变的包、MAC地址或者SSID不符合逻辑的包。
5.如权利要求4所述的方法,其特征在于,攻击检测的检测内容包括包是否符合攻击包外部特征、收到的包是否和协议标准的状态不符合、RSSI异常是否符合攻击特征。
6.如权利要求5所述的方法,其特征在于,判断是否受到攻击不能根据一个无效或问题包的攻击检测结果得到时,攻击检测模块记录收到的多个包的攻击检测结果,对这些包的攻击检测结果进行综合判断。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710163766.5A CN106850679A (zh) | 2017-03-17 | 2017-03-17 | 一种检测wifi攻击的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710163766.5A CN106850679A (zh) | 2017-03-17 | 2017-03-17 | 一种检测wifi攻击的方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN106850679A true CN106850679A (zh) | 2017-06-13 |
Family
ID=59129252
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710163766.5A Pending CN106850679A (zh) | 2017-03-17 | 2017-03-17 | 一种检测wifi攻击的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106850679A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108632258A (zh) * | 2018-04-16 | 2018-10-09 | 新华三信息安全技术有限公司 | 一种访问报文处理方法及装置 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102036248A (zh) * | 2010-12-23 | 2011-04-27 | 北京星网锐捷网络技术有限公司 | 拒绝服务攻击防御方法、系统、无线接入点及无线控制器 |
| CN102158866A (zh) * | 2011-02-01 | 2011-08-17 | 杭州华三通信技术有限公司 | 应用于wlan中的验证方法和装置 |
| CN102378218A (zh) * | 2011-11-04 | 2012-03-14 | 中国联合网络通信集团有限公司 | 一种无线局域网接入点设备及其信道选择方法 |
| CN103874114A (zh) * | 2014-03-19 | 2014-06-18 | 杭州华三通信技术有限公司 | 一种ap故障处理方法、ap设备以及ac设备 |
-
2017
- 2017-03-17 CN CN201710163766.5A patent/CN106850679A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102036248A (zh) * | 2010-12-23 | 2011-04-27 | 北京星网锐捷网络技术有限公司 | 拒绝服务攻击防御方法、系统、无线接入点及无线控制器 |
| CN102158866A (zh) * | 2011-02-01 | 2011-08-17 | 杭州华三通信技术有限公司 | 应用于wlan中的验证方法和装置 |
| CN102378218A (zh) * | 2011-11-04 | 2012-03-14 | 中国联合网络通信集团有限公司 | 一种无线局域网接入点设备及其信道选择方法 |
| CN103874114A (zh) * | 2014-03-19 | 2014-06-18 | 杭州华三通信技术有限公司 | 一种ap故障处理方法、ap设备以及ac设备 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108632258A (zh) * | 2018-04-16 | 2018-10-09 | 新华三信息安全技术有限公司 | 一种访问报文处理方法及装置 |
| CN108632258B (zh) * | 2018-04-16 | 2020-12-18 | 新华三信息安全技术有限公司 | 一种访问报文处理方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9398039B2 (en) | Apparatus, system and method for suppressing erroneous reporting of attacks on a wireless network | |
| US7216365B2 (en) | Automated sniffer apparatus and method for wireless local area network security | |
| EP2742711B1 (en) | Detection of suspect wireless access points | |
| US7971253B1 (en) | Method and system for detecting address rotation and related events in communication networks | |
| US9003527B2 (en) | Automated method and system for monitoring local area computer networks for unauthorized wireless access | |
| US8281392B2 (en) | Methods and systems for wired equivalent privacy and Wi-Fi protected access protection | |
| US7765309B2 (en) | Wireless provisioning device | |
| US20050259634A1 (en) | Method and apparatus for low-overhead service availability and performance monitoring | |
| US9603021B2 (en) | Rogue access point detection | |
| EP1988683A1 (en) | Network security elements using endpoint resources | |
| EP1775910A1 (en) | Application layer ingress filtering | |
| CN106656648B (zh) | 基于家庭网关的应用流量动态保护方法、系统及家庭网关 | |
| EP2890087B1 (en) | System for notifying subscriber devices in ISP networks | |
| Kaur | Mac layer management frame denial of service attacks | |
| US8312530B2 (en) | System and method for providing security in a network environment using accounting information | |
| EP1849261A1 (fr) | Procede, dispositif et programme de detection d'usurpation d'adresse dans un reseau sans fil | |
| CN106850679A (zh) | 一种检测wifi攻击的方法 | |
| US8724506B2 (en) | Detecting double attachment between a wired network and at least one wireless network | |
| Lu et al. | Client-side evil twin attacks detection using statistical characteristics of 802.11 data frames | |
| Abdul-Mumin | Detection of man-in-the-middle attack in IEEE 802.11 networks | |
| Martinovic et al. | Phishing in the wireless: Implementation and analysis | |
| US8122243B1 (en) | Shielding in wireless networks | |
| Mateti | Hacking techniques in wireless networks hacking techniques in wireless networks | |
| Lackner et al. | Combating wireless LAN MAC-layer address spoofing with fingerprinting methods | |
| Schepers et al. | Framing Frames: Bypassing {Wi-Fi} Encryption by Manipulating Transmit Queues |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20170613 |